日本年金機構は12月9日に、不正アクセスによる年金情報流出事件を受けた「業務改善計画」を厚生労働省に提出するとともに、その内容を公開しました。この業務改善計画は情報セキュリティ面での改善だけでなく、日本年金機構に内在する組織面や人事面での課題も含めた内容になっています。
今回は業務改善計画のうち、年金情報流出事件と関連性が高いと考えられる内容について確認します。
なお、具体的な内容はこれから詰められるところも多いと考えられるので、こちらで想定した内容を含めていること、ご了承ください。
業務改善計画の前提となる業務改善命令の内容
今回提出された業務改善計画は、9月25日に厚生労働大臣から受けた業務改善命令に対する回答となっています。業務改善命令の内容については、以下の通りです。
(厚生労働省、「日本年金機構に対する業務改善命令より抜粋) |
上記の業務改善命令は、厚生労働省が日本年金機構に対して毎年実施する業務実績評価の結果に基づいたものです。そのため、年金情報流出事件だけでなく、日本年金機構に内在するその他の課題も含めた改善命令となっています。
業務改善計画の概要
日本年金機構が提出した業務改善計画は、以下の構成となっています。
1.組織の一体化・内部統制の有効性の確保について (1)組織改革 (2)人事改革 (3)業務改革 2.情報開示の抜本的な見直しについて 3.情報セキュリティ対策の強化について (1)組織面 (2)技術面 (3)業務運営面 |
「1.組織の一体化・内部統制の有効性の確保について」に関するコメント
年金情報流出事件においては、日本年金機構は組織面で危機対応能力に課題があるという見解がありました。それが業務改善命令における「内部統制の有効性を確実に確保する」という部分に反映されたと考えられます。しかしながら、業務改善計画のこの部分のほとんどは組織や業務の効率性、人材の活性化といった観点での改善内容となっています。内部統制の強化という観点では、全体的に中央集権化を進め、「本部」の権限を強化する方向で考えているようです。
内部統制を強化する上では、確かに中央で明確なルールを策定し、評価することは重要ですが、同様に、現場の管理者による管理能力がキーになると考えます。その面での改善計画がほとんど記載されていないことは課題だと考えます。
「2.情報開示の抜本的な見直しについて」に関するコメント
年金情報流出事件においては、機構内の注意喚起等の連絡状況や厚生労働省との情報連携が問題視されました。本部と現場との情報共有を場管理統括部署の地域マネージャーを情報共有のキーマンとするようですが、逆にほかの職員が当事者意識を失うことの無い様、位置付けや役割を定義することが重要だと考えます。
年金情報流出事件では不審メールが送信されても情報セキュリティの担当者に連絡した職員はおらず、委託会社や内閣サイバーセキュリティセンター(NISC)からの連絡でウィルス感染に気付いたという経緯がありました。不審メールを受信したら上司や情報セキュリティ担当者に連絡するという意識を醸成させるような施策も必要だと考えます。
「3.情報セキュリティ対策の強化について」(1)組織面」に関するコメント
内容を確認すると、以下の通りです。
・「情報管理対策本部」を設置
・「情報管理対策本部」の下に常設の「情報管理対策室」を設置
・「情報管理対策室」の1グループを中心にCSIRTを設置
・「最高情報セキュリティアドバイザー」の設置(来期以降)
目新しいのはCSIRTの設置くらいで、その他の組織は既存の組織を改編した内容にあると思われます。
気になるのは、上記の内容は本部機能であって、全国の拠点に対しての施策が記載されていないことです。情報セキュリティの世界なので、日本年金機構にアクセスするトラフィックなどは本部機能で監視し、対策を検討することでもいいのですが、地方拠点に送付されてくる不審な電子メール等の情報を収集し、現地で手を動かして対処するとともに、セキュリティルールを順守するよう監督するセキュリティ担当者も必要なはずですが、記載がされていません。中央と拠点との関係性や連携等についても改善の余地があるのでは、と考えます。
「3.情報セキュリティ対策の強化について」(2)技術面」に関するコメント
ここで注目すべきなのは、情報流出の原因となった「機構LANシステム」をインターネットから切り離したことでしょう。年金個人情報が格納されている「基幹系システム」については従来からインターネットに接続されていませんが、「機構LANシステム」からも接続できないようにし、アクセス可能なのは窓口端末のみとしています。
流出情報が格納されていた共有フォルダについても、「機構LANシステム」には設置せずに「基幹系システム」環境に設置することとし、窓口端末のみから生体認証によってのみアクセス可能とするようです。
外部からの電子メール受付等、インターネットにアクセスせざるを得ない業務については、別途「インターネット環境」を新たに構築することになるそうです。
以上の内容をイメージ化すると、以下の通りです。
一見、情報遮断がされて良さそうに見えますが、実際に業務を行う職員から見てどうなのでしょうか。そもそも、年金情報流出の原因の一つが基幹系システムへのアクセスが煩雑なため、大量の年金個人情報をダウンロードし、機構LANシステムのサーバーに保管したことにあります。情報セキュリティを重視するあまり、業務遂行の利便性を犠牲にしすぎると、新たな代替手段を講じる可能性が高いと考えられます。その手段に対して「情報管理対策室」が確認の上、承認するとともに、順守状況を定期的に確認することが必要になると考えます。また、これだけの情報遮断をしておいて、USBメモリの使用は自由といったことになっていなければと考えます。
「3.情報セキュリティ対策の強化について」(3)業務運営面」に関するコメント
こちらの内容は「ポリシーの改訂等」「情報セキュリティ研修の実施」「内部監査、外部監査の実施」となっています。特に目新しいものが無いばかりか、この内容で改善計画ということは、これまで何をしてきたのだろうという気がします。
「ポリシーの改訂等」について、規程類を整備することは大切ですが、同様に規程類の内容を定着化させ、日常的に順守させるよう働きかけることも重要なのですが、その記述がありません。
「セキュリティ研修」については、改善計画にあるような年1回の研修に対する効果を疑問視する声もあります。日本年金機構の規模を考えると、全員に実習形式やワークショップ形式の研修を準備することは難しいので、単なる座学やe-ラーニングの画面を眺めるだけでなく、理解度を確認するテストを行う等、各職員に知識として身に着けてもらう工夫が必要でしょう。
「内部監査、外部監査の実施」については内容が漠然としており、監査の目的や対象部門が明確になっていない状況です。今後の改善作業の中で具体化するのでしょうが、本部と拠点とを織り交ぜて実施する必要があるでしょう。
その他コメント
まずこの改善計画については、平成28年度から3年間を取組期間としていますが、少々長すぎはしないでしょうか。少なくとも整備レベルでは平成28年度中に実施し、定着化に1~2年というイメージでないといけないと思います。ただし、情報システム関係はもう少し時間がかかるでしょう。よって、完成形に至るまでの移行期間についても何らかの施策を考える必要があります。
改善計画の内容は本部中心であり、拠点での対応内容が少ないのも気になります。様々な施策を本部で集中して検討し、展開するのはいいのですが、各拠点での定着化に向けた施策にほとんど触れていないように感じます。
最後に、現場の業務におけるセキュリティの確保と利便性のバランスがとれていないように感じます。利便性をある程度犠牲にすることは仕方が無いにしても、利便性を過度に犠牲にすると、現場で何らかの代替手段を行う可能性があります。そして、この代替手段は往々にして、セキュリティ上の穴になる可能性が高いです。先の年金情報流出では、基幹系システムに対するセキュリティの高さが業務実施上煩雑であるため、大量の年金個人情報をダウンロードして共有フォルダに格納したことが被害を大きくしました。結果としての共有フォルダを「こうしてはいけない」ではなく、「なぜそうせざるを得なかったのか」というところから業務を分析して、利便性と安全性を両立させるような業務設計を行うことが重要です。
J-SOXの影響で十分に意識されていない可能性があるのですが、内部統制を代表するモデルであるCOSOフレームワークでは、内部統制の目標の一つとして「業務の有効性と効率性」が定義されています。もう少し実務の状況を考慮した施策に代えていくことも検討する必要があると考えます。
参考:
厚生労働省、「日本年金機構に対する業務改善命令」
日本年金機構、「業務改善計画の提出」
上記内容に関するご相談やお問い合わせについては、「お問い合せ」のページからご連絡ください。
デルタエッジコンサルタントでは情報セキュリティやリスク管理を支援するコンサルティングサービスを提供しています。詳細はこちらをご覧ください。
==>「コンサルティングサービス-リスク管理」のページ
興味や関心がございましたら、ぜひご連絡ください。